performing-threat-modeling-with-owasp-threat-dragon
OWASP Threat Dragonを使用して、データフロー図の作成、STRIDEおよびLINDDUN手法を用いた脅威の特定、脅威モデルレポートの生成を行い、セキュアな設計レビューに活用できます。
description の原文を見る
Use OWASP Threat Dragon to create data flow diagrams, identify threats using STRIDE and LINDDUN methodologies, and generate threat model reports for secure design review.
SKILL.md 本文
OWASP Threat Dragon を使用した脅威モデリングの実施
概要
OWASP Threat Dragon は、セキュリティチームと開発者が脅威モデル図を作成し、確立された方法論(STRIDE、LINDDUN、CIA、DIE、PLOT4ai)を使用して脅威を特定し、包括的なレポートを生成できるオープンソースの脅威モデリングツールです。Threat Dragon は Web アプリケーションとデスクトップアプリケーション(Windows、macOS、Linux)の両方として動作し、脅威モデルで協働作業を行う分散チームをサポートします。バージョン 2.x は、ドラッグアンドドロップ図作成、脅威と対策の自動生成ルールエンジン、ドキュメント化と GRC コンプライアンスの為の PDF レポート出力を提供します。
使用する場合
- OWASP Threat Dragon を使用した脅威モデリングを含むセキュリティ評価を実施する場合
- 関連するセキュリティ事象のインシデント対応手順に従う場合
- 定期的なセキュリティテストまたは監査活動を実施する場合
- ハンズオンテストによるセキュリティ管理を検証する場合
前提条件
- OWASP Threat Dragon デスクトップアプリケーションまたは Web インスタンス
- データフロー図(DFD)表記法の理解
- STRIDE または LINDDUN 脅威分類への習熟
- アプリケーションアーキテクチャドキュメントとネットワーク図
- 設計レビューセッション用のステークホルダーアクセス
脅威モデリング方法論
STRIDE
| カテゴリ | 脅威タイプ | 説明 | 例 |
|---|---|---|---|
| S | Spoofing(偽装) | ユーザーまたはシステムへの偽装 | 盗まれたセッショントークン |
| T | Tampering(改ざん) | 転送中または保存中のデータ改変 | SQL インジェクションでレコードを変更 |
| R | Repudiation(否認) | 実施した行為の否定 | 監査ログの欠落 |
| I | Information Disclosure(情報漏露) | 機密データの暴露 | API が過剰なフィールドを返す |
| D | Denial of Service(サービス拒否) | サービスを利用不可にする | リソース枯渇攻撃 |
| E | Elevation of Privilege(権限昇格) | 不正なアクセス権の取得 | 破けたアクセス制御 |
LINDDUN(プライバシー重視)
| カテゴリ | 脅威タイプ | 説明 |
|---|---|---|
| L | Linkability(リンク可能性) | コンテキスト間でのデータ項目の関連付け |
| I | Identifiability(識別可能性) | データから個人を特定すること |
| N | Non-repudiation(否認防止) | 行為を否定できないこと(プライバシーリスク) |
| D | Detectability(検出可能性) | 主体に関するデータが存在することを判定すること |
| D | Disclosure(開示) | 個人情報の暴露 |
| U | Unawareness(認識不足) | ユーザーがデータ収集を認識していないこと |
| N | Non-compliance(非準拠) | プライバシー規制への違反 |
ワークフロー
ステップ 1 --- Threat Dragon のインストール
デスクトップアプリケーション: OWASP Threat Dragon リリースページからインストーラーを Windows(.exe)、macOS(.dmg)、または Linux(.AppImage/.deb/.rpm)用にダウンロードしてください。
Web アプリケーション(Docker):
docker run -p 3000:3000 \
-e ENCRYPTION_JWT_SIGNING_KEY=$(openssl rand -hex 32) \
-e ENCRYPTION_JWT_REFRESH_SIGNING_KEY=$(openssl rand -hex 32) \
-e ENCRYPTION_KEYS='[{"isPrimary":true,"id":0,"value":"'$(openssl rand -hex 16)'"}]' \
-e NODE_ENV=production \
owasp/threat-dragon:latest
ステップ 2 --- スコープの定義
図を作成する前に、スコープをドキュメント化してください:
- システム名と説明
- 保護されるアセット(ユーザーデータ、認証情報、決済情報)
- 外部依存関係(サードパーティ API、クラウドサービス)
- コンプライアンス要件(GDPR、HIPAA、PCI DSS)
- 信頼境界(ネットワークセグメント、認証ゾーン)
ステップ 3 --- データフロー図の作成
Threat Dragon で新しい脅威モデルを作成し、以下の DFD 要素を使用して図を追加します:
プロセス:データを変換するアプリケーション、マイクロサービス、API エンドポイント。円または丸い長方形で表現されます。
データストア:データを永続化するデータベース、ファイルシステム、キャッシュ、メッセージキュー。平行線で表現されます。
外部エンティティ:信頼境界外のユーザー、外部システム、サードパーティサービス。長方形で表現されます。
データフロー:データ方向を示すラベル付きの矢印で表現される、要素間の通信チャネル。
信頼境界:異なる信頼レベルのゾーンを分離する破線(インターネット/DMZ/内部ネットワーク、ユーザー/管理者)。
ステップ 4 --- 脅威の特定
各 DFD 要素について、STRIDE 方法論を適用します:
| 要素タイプ | 適用可能な STRIDE カテゴリ |
|---|---|
| 外部エンティティ | Spoofing、Repudiation |
| プロセス | Spoofing、Tampering、Repudiation、Information Disclosure、DoS、Elevation of Privilege |
| データストア | Tampering、Information Disclosure、DoS |
| データフロー | Tampering、Information Disclosure、DoS |
Threat Dragon のルールエンジンは、要素タイプに基づいて脅威を自動的に提案します。各提案を確認して、以下のいずれかにマークしてください:
- Mitigated(対策済み):既存の管理が脅威に対応している
- Not Applicable(非適用):脅威がこのコンテキストに適用されない
- Open(オープン):脅威に対応する必要がある(優先度と担当者を割り当てる)
ステップ 5 --- 対策の定義
各オープンな脅威について、以下をドキュメント化してください:
- 対策戦略(防止、検出、対応、転移)
- 具体的な技術的管理(暗号化、認証、レート制限)
- 実装責任者
- 対応の優先度と期間
ステップ 6 --- レポートの生成
Threat Dragon は以下を含む PDF レポートを生成します:
- 脅威モデルのエグゼクティブサマリー
- 注釈付きのデータフロー図
- 深刻度評価付きの脅威インベントリ
- 対策ステータスと推奨事項
- 該当する場合のコンプライアンスマッピング
ステップ 7 --- SDLC への統合
- 新機能の設計段階での脅威モデリングの実施
- アーキテクチャ変更時の脅威モデルの更新
- セキュリティ設計レビュー時の脅威モデルの確認
- コードと共にバージョン管理に脅威モデルファイルを保存
- セキュリティ受け入れ基準で脅威モデル検出結果を参照
脅威モデルファイル形式
Threat Dragon は脅威モデルに JSON 形式を使用し、バージョン管理とプログラム的な操作を有効にします:
{
"version": "2.2.0",
"summary": {
"title": "E-Commerce Application",
"owner": "Security Team",
"description": "Threat model for the checkout flow"
},
"detail": {
"contributors": [
{"name": "Security Architect"}
],
"diagrams": [
{
"id": 0,
"title": "Checkout Flow",
"diagramType": "STRIDE",
"cells": []
}
]
}
}
CycloneDX TMBOM 統合
Threat Dragon は CycloneDX Threat Model Bill of Materials(TMBOM)の取り組みに参加しており、他の脅威モデリングツールと GRC プラットフォームで使用できる共通形式へのエクスポートを可能にし、ベンダーロックインを防止します。
ベストプラクティス
- シンプルに開始する:詳細な図に分解する前に、高レベル DFD(レベル 0)から始めてください
- 開発者を巻き込む:現実的な脅威評価のため、脅威モデリングセッションに開発チームメンバーを含めてください
- セッションを時間制限する:初期セッションを 90 分に制限し、後続セッションで反復してください
- リスクで優先順位付けする:深刻度評価(Critical、High、Medium、Low)を使用して対策に優先順位を付けてください
- 生きたドキュメント:脅威モデルをシステムと共に進化する生きたドキュメントとして扱ってください
- 可能な限り自動化する:初期脅威生成にルールエンジンを使用してから、手動で調整してください
参考資料
ライセンス: Apache-2.0(寛容ライセンスのため全文を引用しています) · 原本リポジトリ
詳細情報
- 作者
- CX330Blake
- リポジトリ
- CX330Blake/dotfiles
- ライセンス
- Apache-2.0
- 最終更新
- 2026/5/4
Source: https://github.com/CX330Blake/dotfiles / ライセンス: Apache-2.0
関連スキル
secure-code-guardian
認証・認可の実装、ユーザー入力の保護、OWASP Top 10の脆弱性対策が必要な場合に使用します。bcrypt/argon2によるパスワードハッシング、パラメータ化ステートメントによるSQLインジェクション対策、CORS/CSPヘッダーの設定、Zodによる入力検証、JWTトークンの構築などのカスタムセキュリティ実装に対応します。認証、認可、入力検証、暗号化、OWASP Top 10対策、セッション管理、セキュリティ強化全般で活用できます。ただし、構築済みのOAuth/SSO統合や単独のセキュリティ監査が必要な場合は、より特化したスキルの検討をお勧めします。
claude-authenticity
APIエンドポイントが本物のClaudeによって支えられているか(ラッパーやプロキシ、偽装ではないか)を、claude-verifyプロジェクトを模した9つの重み付きルールベースチェックで検証できます。また、Claudeの正体を上書きしているプロバイダーから注入されたシステムプロンプトも抽出します。完全に自己完結しており、httpx以外の追加パッケージは不要です。Claude APIキーまたはエンドポイントを検証したい場合、サードパーティのClaudeサービスが本物か確認したい場合、APIプロバイダーのClaude正当性を監査したい場合、複数モデルを並行してテストしたい場合、またはプロバイダーが注入したシステムプロンプトを特定したい場合に使用できます。
anth-security-basics
Anthropic Claude APIのセキュリティベストプラクティスを適用し、キー管理、入力値の検証、プロンプトインジェクション対策を実施します。APIキーの保護、Claudeに送信する前のユーザー入力検証、コンテンツセーフティガードレールの実装が必要な場合に活用できます。「anthropic security」「claude api key security」「secure anthropic」「prompt injection defense」といったフレーズでトリガーされます。
x-ray
x-ray.mdプレ監査レポートを生成します。概要、強化された脅威モデル(プロトコルタイプのプロファイリング、Gitの重み付け攻撃面分析、時間軸リスク分析、コンポーザビリティ依存関係マッピング)、不変条件、統合、ドキュメント品質、テスト分析、開発者・Gitの履歴をカバーしています。「x-ray」「audit readiness」「readiness report」「pre-audit report」「prep this protocol」「protocol prep」「summarize this protocol」のキーワードで実行されます。
semgrep
Semgrepスタティック分析スキャンを実行し、カスタム検出ルールを作成します。Semgrepでのコードスキャン、セキュリティ脆弱性の検出、カスタムYAMLルールの作成、または特定のバグパターンの検出が必要な場合に使用します。重要:ユーザーが「バグをスキャンしたい」「コード品質を確認したい」「脆弱性を見つけたい」「スタティック分析」「セキュリティlint」「コード監査」または「コーディング標準を適用したい」と尋ねた場合も、Semgrepという名称を明記していなくても、このスキルを使用してください。Semgrepは30以上の言語に対応したパターンベースのコードスキャンに最適なツールです。
ghost-bits-cast-attack
Java「ゴーストビッツ」/キャストアタック プレイブック(Black Hat Asia 2026)。16ビット文字が8ビットバイトに暗黙的に縮小されるJavaサービスへの攻撃時に使用します。WAF/IDSを回避して、SQLインジェクション、デシリアライゼーション型RCE、ファイルアップロード(Webシェル)、パストトラバーサル、CRLF インジェクション、リクエストスマグリング、SMTPインジェクションを実行できます。Tomcat、Spring、Jetty、Undertow、Vert.x、Jackson、Fastjson、Apache Commons BCEL、Apache HttpClient、Angus Mail、JDK HttpServer、Lettuce、Jodd、XMLWriterに影響し、WAFバイパスにより多くの「パッチ済み」CVEを再度有効化します。